2008-01-15 传送讯息给 mIRC使用者的 W32.Fishinflu@mm蠕虫             病毒型态：        蠕虫               影响平台：        Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP               概述：        W32.Fishinflu@mm 是会大量寄发电子邮件、传送讯息给 mIRC使用者并透过行动装置散播的蠕虫。                 说明：        当 W32.Fishinflu@mm执行时，会产生下列动作：
1.复制本身成下列档案：
　%System%\G76T71I84L.exe
　%System%\Z76V90L86L.exe
　%System%\Z82Y90M89R.exe
　%System%\P65Z80O90A.exe
　%Windir%\SysDevils.exe
　%SystemDrive%\script.ini
2.建立下列清洁档：
　%System%\FluIkan
　%System%\Flu-Ikan.htm
　%UserProfile%\MyDocuments\Flu-Ikan.htm
　%SystemDrive%\aliases.ini
3.覆写下列档案：
　%ProgramFiles%\mIRC\aliases.ini
4.建立下列登录机码：
　HKEY_LOCAL_MACHINE\SOFTWARE\Flu-Ikan\"Lokasi" = "%System%"
　HKEY_LOCAL_MACHINE\SOFTWARE\Flu-Ikan\"Master1" = "%System%\P84K80W75T.exe"
　HKEY_LOCAL_MACHINE\SOFTWARE\Flu-Ikan\"Master2" = "%System%\G76T71I84L.exe"
　HKEY_LOCAL_MACHINE\SOFTWARE\Flu-Ikan\"Master3" = "%System%\Z76V90L86L.exe"
　HKEY_LOCAL_MACHINE\SOFTWARE\Flu-Ikan\"Master4" = "%System%\Z82Y90M89R.exe"
　HKEY_LOCAL_MACHINE\SOFTWARE\Flu-Ikan\"Master5" = "%System%\P65Z80O90A.exe"
　HKEY_CURRENT_USER\Software\Microsoft\MS Setup (ACME)\User Info\"DefCompany" = "Malware"
　HKEY_CURRENT_USER\Software\Microsoft\MS Setup (ACME)\User Info\"DefName" = "Flu-Ikan"
5.建立下列登录机码，让windows每次开机时，执行该蠕虫：
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
　"pemalas" = "%System%\G76T71I84L.exe"
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
　"mulut_besar" = "%System%\Z76V90L86L.exe"
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
　"otak_udang" = "%System%\Z82Y90M89R.exe"
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
　"kebodohan" = "%System%\P84K80W75T.exe"
6.删除下列子登录机码：
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys
7.修改下列登录机码，让windows每次开机时，执行该蠕虫：
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
　"Shell" = "Explorer.exe %System%\P65Z80O90A.exe"
8.修改下列登录机码，变更桌布:
　HKEY_CURRENT_USER\Control Panel\Desktop\"Wallpaper" = "%System%\FluIkan"
9.修改下列登录机码，变更IE首页：
　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" =
　[http://]/www.al3ez.net/aashour/arabia_map/[REMOVED]
10.修改下列登录机码，使Windows Registry Editor、Task Manager与command shell失效：
　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
　"DisableTaskMgr" = "1"
　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
　"DisableRegistryTools" = "1"
　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
　"DisableCMD" = "1"
11.修改下列登录机码，隐藏开始选单中的选项：
　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
　"NoFind" = "1"
　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
　"NoRun" = "1"
12.修改下列登录机码，变更电脑登记的拥有人与公司资料：
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
　"RegisteredOwner" = "Flu-Ikan"
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
　"RegisteredOrganization" = "Malware"
13.修改下列登录机码：
　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
　"NoFolderOptions" = "1"
　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
　"NoRecentDocsMenu" = "1"
　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
　"NoViewContextMenu" = "1"
　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
　"NoTrayContextMenu" = "1"
　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
　"NoSetFolders" = "1"
　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
　"Hidden" = "2"
　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
　"ShowSuperHidden" = "0"
　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
　"SuperHidden" = "1"
　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
　"HideFileExt" = "1"
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
　Folder\Hidden\"Type" = " "
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
　Folder\HideFileExt\"Type" = " "
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
　Folder\SuperHidden\"Type" = " "
14.定期检查执行中的视窗标题，并复制本身成下列档案：
　%SystemDrive%\[WINDOW TITLE].exe
15.如果标题包含下列字串，关闭视窗：
　SUPERDAT
　PROCESS
　REGISTRY EDITOR
　SETUP
　NORMAN
　WINDOWS TASK MANAGER
　TASK MANAGER
　TUNEUP
　SYSTUNER
　RESOURCE HACKER
　HEX WORKSHOP
　URSOFT W32DASM
　CMD.EXE
　COMMAND PROMPT
　SYSTEM RESTORE
　EASYRECOVERY
　PEID
　EXESCOPE
　IDA
　XREFS
　POWERQUEST
　ZONEALARM
　NVC
　CONFIRM FILE DELETE
　CONFIRM MULTIPLE FILE DELETE
　INTERNET OPTIONS
　SHOW/KILL RUNNING PROCESS
　SYSTEM MECHANIC
　DISPLAY PROPERTIES
　HIJACKTHIS
　KILLBOX
　POCKET KILLBOX
16.搜寻本机文件夹并复制本身成下列档案：
　%SystemDrive%\[FOLDER NAME].exe
17.使用Microsoft Outlook寄送含有蠕虫的电子邮件。此电子邮件包含下列特性：
　Title:Very Important!
　Message Body:Hi: Please view this file, it's very important.
18.修改 %ProgramFiles%\mIRC\script.ini 档，以透过 mIRC传送下列任一个讯息给所有相关的使用者：
　aloo [USER NICK NAME] , free picture indonesia sex double klik url:
　[http://]www.tid.org.tr/documents/indo_p[REMOVED]
　aloo [USER NICK NAME] Ada info baru ne Marshanda, Agnes Monica, Dian Sastro,
　Bunga.C Dah Berani Bugil, Untuk liat Fotonya double klik url:
　[http://]www.tid.org.tr/documents/indo_p[REMOVED]
　aloo [USER NICK NAME] Ada info baru ne Marshanda, Agnes Monica, Dian Sastro,
　Bunga.C Dah Berani Bugil, Untuk liat Fotonya double klik url:
　[http://]www.tid.org.tr/documents/indo_pX[REMOVED]
　aloo [USER NICK NAME] mo liat artis-artis indonesia nude, double klik url:
　[http://]www.tid.org.tr/documents/indo_p[REMOVED]
　aloo [USER NICK NAME] , indo artis majalah playboy double klik url:
　[http://]www.tid.org.tr/documents/indo_p[REMOVED]
　aloo [USER NICK NAME] mo liat artis majalah playboy indo?, double klik url:
　[http://]www.tid.org.tr/documents/indo_pX[REMOVED]
　aloo [USER NICK NAME] indonesia free porn, double klik url:
　[http://]www.tid.org.tr/documents/indo_p[REMOVED]
　aloo [USER NICK NAME] mo liat karya ce-ce bangsa indo, double klik url:
　[http://]www.tid.org.tr/documents/indo_p[REMOVED]
　注: 本文发表时，上述URL已失效。               解决方案：        1.暂时关闭系统还原功能 (Windows Me/XP)
　系统还原功能能够使系统回复到预设状态，假如电脑的资料毁损，则可以用来复原资料。
　系统还原功能也会记录下病毒、蠕虫或是木马的感染。Windows 预防任何外部程式来修改
　系统还原功能，当然也包括了防毒软体。因此防毒软体或是工具无法移除系统还原资料夹
　中的威胁。即使已经在其他的资料夹清除了感染的档案还是有可能经由系统还原来回复受感染的档案。
　关闭系统还原功能的方法可以阅读Windows 的文件或是参考以下网页：
　关闭Windows Me还原功能
　关闭Windows XP还原功能
2.更新病毒定义档
　至所使用防毒软体之公司网站下载最新的病毒定义档
　赛门铁克
　趋势科技
3.执行全系统扫描
　(a)执行防毒软体，并设定为执行全系统扫描
　(b)如果侦测到病毒，则采取防毒软体所建议的步骤
　(注1)如果没有防毒软体，可以到以下网站线上扫毒：
　http://www.kaspersky.co...scanner/#
　http://www3.ca.com/securityad...fo/scan.aspx
　http://housecall.t...ro.com/
　(注2)如果防毒软体无法删除病毒，则需重新启动至安全模式，
　　　 依防毒软体指示删除病毒，再进行下一步骤。
　(注3)如果出现档案遗失的讯息，在完全移除病毒后便不会再出现，请点选「确定」略过讯息。
　(注4)如何开启安全模式请参考。
　http://service1.symantec.com/S...nfo.nsf/docid
　/2001052409420406?OpenDocument&src=sec_doc_nam
　(c)如果扫描出任何病毒，请删除病毒
　(注)假如防毒产品无法移除受感染的档案，请以安全模式开启，并再次执行扫毒程序，
　　　移除受感染的档案后再重新开机至正常模式。重新开机时会有警告讯息
　　　(Warning messages)，因为此时威胁仍未完全解除，可忽略此警讯点选OK，
　　　指令完全移除后，重新开机便不会再出现警讯，警告讯息呈现如下列所示：
　　　Title: [FILE PATH]
　　　Message body: Windows cannot find [FILE NAME].
　　　Make sure you typed the name correctly, and then try again.
　　　To search for a file, click the Start button, and then click Search.
4.删除登入档内的值(value)：
　(a)滑鼠左键点选 开始\执行
　(b)键入 regedit
　(c)滑鼠左键点选 确定
　(d)删除下列登录项目：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Flu-Ikan\"Lokasi" = "%System%"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Flu-Ikan\"Master1" = "%System%\P84K80W75T.exe"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Flu-Ikan\"Master2" = "%System%\G76T71I84L.exe"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Flu-Ikan\"Master3" = "%System%\Z76V90L86L.exe"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Flu-Ikan\"Master4" = "%System%\Z82Y90M89R.exe"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Flu-Ikan\"Master5" = "%System%\P65Z80O90A.exe"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
　　"kebodohan" = "%System%\P84K80W75T.exe"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
　　"pemalas" = "%System%\G76T71I84L.exe"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
　　"mulut_besar" = "%System%\Z76V90L86L.exe"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
　　"otak_udang" = "%System%\Z82Y90M89R.exe"
　　HKEY_CURRENT_USER\Software\Microsoft\MS Setup (ACME)\User Info\"DefCompany" = "Malware"
　　HKEY_CURRENT_USER\Software\Microsoft\MS Setup (ACME)\User Info\"DefName" = "Flu-Ikan"
　(e)如有需要，恢复下列子登录项目初始值：
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys
　(f)如有需要，恢复下列登录项目初始值：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
　　"Shell" = "Explorer.exe %System%\P65Z80O90A.exe"
　　HKEY_CURRENT_USER\Control Panel\Desktop\"Wallpaper" = "%System%\FluIkan"
　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" =
　　"http://www.al3ez.net/aash...map/"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
　　Explorer\"NoFolderOptions" = "1"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
　　Explorer\"NoRecentDocsMenu" = "1"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
　　Explorer\"NoViewContextMenu" = "1"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
　　Explorer\"NoTrayContextMenu" = "1"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
　　Explorer\"NoSetFolders" = "1"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
　　Explorer\"NoFind" = "1"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
　　Explorer\"NoRun" = "1"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
　　Advanced\"Hidden" = "2"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
　　Advanced\"ShowSuperHidden" = "0"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
　　Advanced\"SuperHidden" = "1"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
　　System\"DisableRegistryTools" = "1"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
　　Advanced\"HideFileExt" = "1"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
　　System\"DisableTaskMgr" = "1"
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
　　System\"DisableCMD" = "1"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
　　"RegisteredOwner" = "Flu-Ikan"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
　　"RegisteredOrganization" = "Malware"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
　　Advanced\Folder\Hidden\"Type" = " "
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
　　Advanced\Folder\HideFileExt\"Type" = " "
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
　　Advanced\Folder\SuperHidden\"Type" = " "
　(g)离开登录档编辑器               参考资料：        http://www.symantec.com/business/security_resp...d=2008-011507-0108-99               资料来源：赛门铁克公司